Um ator de ameaça iraniano afiliado ao Ministério de Inteligência e Segurança (MOIS) foi identificado como o responsável por ataques destrutivos com intenção de apagamento direcionados à Albânia e Israel, sob as denominações Homeland Justice e Karma, respectivamente.
A empresa de cibersegurança Check Point está monitorando a atividade sob o codinome Void Manticore, que também é conhecido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.
"Há sobreposições claras entre os alvos de Void Manticore e Scarred Manticore, com indicações de uma passagem sistemática de alvos entre esses dois grupos ao decidirem realizar atividades destrutivas contra vítimas existentes de Scarred Manticore," disse a empresa em um relatório publicado hoje.
O ator de ameaça é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Homeland Justice, que envolvem o uso de malware de apagamento sob medida chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques similares com malware de apagamento também foram direcionados a sistemas Windows e Linux em Israel seguindo a guerra Israel-Hamas após outubro de 2023 utilizando outro apagador sob medida codinome BiBi.
O grupo hacktivista pró-Hamas é conhecido pelo nome Karma.
Cadeias de ataques orquestradas pelo grupo são "diretas e simples", tipicamente aproveitando ferramentas publicamente disponíveis e fazendo uso do Remote Desktop Protocol (RDP), Server Message Block (SMB) e File Transfer Protocol (FTP) para movimentação lateral antes da implantação de malware.
O acesso inicial, em alguns casos, é realizado pela exploração de falhas de segurança conhecidas em aplicações voltadas para a internet (por exemplo,
CVE-2019-0604
), de acordo com um comunicado divulgado pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA em setembro de 2022.
Um ponto de apoio bem-sucedido é seguido pela implantação de web shells, incluindo um feito em casa chamado Karma Shell que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, carregar arquivos e iniciar/parar/listar serviços.
Suspeita-se que Void Manticore esteja utilizando acesso previamente obtido por Scarred Manticore (também conhecido como Storm-0861) para realizar suas próprias intrusões, sublinhando um procedimento de "passagem de bastão" entre os dois atores de ameaça.
Esse alto grau de cooperação foi anteriormente também destacado pela Microsoft em sua própria investigação sobre ataques direcionados aos governos albaneses em 2022, observando que múltiplos atores iranianos participaram disso e que eles foram responsáveis por fases distintas.
Storm-0861 obteve acesso inicial e exfiltrou dados
Storm-0842 implantou o ransomware e o malware de apagamento
Storm-0166 exfiltrou dados
Storm-0133 investigou a infraestrutura da vítima
Também vale destacar que o Storm-0861 é avaliado como um elemento subordinado dentro do APT34 (conhecido também como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo iraniano de estado-nação conhecido pelos malware de apagamento Shamoon e ZeroCleare.
"As sobreposições nas técnicas empregadas nos ataques contra Israel e Albânia, incluindo a coordenação entre os dois atores diferentes, sugerem que esse processo tenha se tornado rotina," disse a Check Point.
As operações de Void Manticore são caracterizadas pela sua abordagem dupla, combinando guerra psicológica com destruição de dados reais.
Isso é alcançado através do uso de ataques de apagamento e pelo vazamento público de informações, ampliando assim a destruição nas organizações visadas.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...